נחשפה גרסה עדכנית של תוכנת הכופר RAA התוקפת בעיקר יעדים עסקיים

דף הבית >> חדשות אבטחה ועולם הסייבר >> נחשפה גרסה עדכנית של תוכנת הכופר RAA התוקפת בעיקר יעדים עסקיים

נחשפה גרסה עדכנית של תוכנת הכופר RAA התוקפת בעיקר יעדים עסקיים

מאת: מערכת Telecom News, 20.9.16, 17:32כופר

הגרסה המעודכנת יכולה לבצע הצפנה ללא חיבור לאינטרנט והפעם ללא הצורך לבקש מפתח משרת הפיקוד. הקורבן גם מקבל את הסוס הטרויאני Pony.

 תוכנת הכופר RAA הופיעה בנוף האיומים ביוני 2016 והייתה תוכנת הכופר הראשונה, שנחשפה, שנכתבה כולה ב-JScript. באוגוסט 2016, מומחי מעבדת קספרסקי גילו גרסה חדשה, שבדומה לקודמת, מופצת דרך הדואר האלקטרוני, אך כעת הקוד הזדוני מוסתר בקובץ ZIP מצורף המוגן בסיסמא. הפושעים הטמיעו אמצעי זה כדי להונות פתרונות אנטי וירוס, מכיוון שקשה יותר לבחון את תוכן הקובץ המוגן.

המומחים הסיקו מניתוח הדואר האלקטרוני, שמפיצי הקוד ממוקדים בעסקים ולא במשתמש המצוי. זאת, מכיוון שההודעות הזדוניות מכילות מידע אודות חובות של ספקים. כדי שההודעות תיראנה אמינות יותר, השולחים ציינו, שהקובץ המצורף מוגן בסיסמא מסיבות אבטחה (הסיסמא לקובץ צורפה בתחתית ההודעה) ומוגן ע"י הצפנה א-סימטרית. הצהרה זו נשמעת מגוחכת באוזניי משתמשים מנוסים, אבל מצליחה להטעות קורבנות תמימים.

המשך תהליך ההדבקה נראה דומה לזה של גרסאות RAA קודמות. הקורבן מפעיל קובץ .js, שמתחיל את התהליך הזדוני. כדי להסיט את תשומת לב הקורבן, הסוס הטרויאני מציג מסמך טקסט מזויף המכיל מערך רנדומלי של אותיות. בעוד הקורבן מנסה להבין מה קורה, ברקע ה-RAA מצפין קבצים על המכשיר. בסופו של דבר, תוכנת הכופר יוצרת הודעת דרישה לדמי כופר על שולחן העבודה וכל הקבצים המוצפנים זוכים לסיומת .locked חדשה.

בהשוואה לגרסה הקודמת, ההבדל המרכזי הוא, שכעת ה-RAA לא צריך לתקשר עם שרת הפיקוד והשליטה כדי להצפין קבצים על מחשב הקורבן, כפי שנזקק בעבר.

במקום לבקש מפתח מאסטר משרת הפיקוד והשליטה, הסוס הטרויאני מייצר, מצפין ומאחסן אותו על המכשיר הנגוע. פושעי סייבר מחזיקים את המפתח הפרטי כדי לפצח את ההצפנה הייחודית של מפתח המאסטר. ברגע שהכופר משולם, הפושעים מבקשים מהמשתמש לשלוח להם את מפתח המאסטר המוצפן, שיוחזר אל הקורבן לצורך פתיחת ההצפנה יחד עם תוכנת פיענוח. ככל הנראה, דרך פעולה זו נבחרה כדי לאפשר לנוזקה להדביק מכשירים, שאינם מחוברים לרשת וגם כאלה שכן.  

יתרה מכך, יחד עם תוכנת הכופר RAA, הקורבן גם מקבל את הסוס הטרויאני Pony, שמסוגל לגנוב סיסמאות מכל שרתי הדואר, כולל שרתים ארגוניים, ולשלוח אותם לתוקף מרוחק. באמצעות סיסמאות אלו, הפושעים יכולים להפיץ את הנוזקה שלהם בשם המשתמשים שנפגעו, וכך קל להם יותר לשכנע את הקורבן הב, שההודע שהתקבל היא ממקור אמין. מהדואר האלקטרוני של הקורבן, הנוזקה יכולה להיות מופצת לרשימה המלאה של אנשי קשר עסקיים, ומשם, הפושעים יכולים לבחור אנשי קשר מעניינים ולבצע התקפות ממוקדות.

כיום, תוכנת הכופר RAA מופצת בעיקר בקרב משתמשים דוברי רוסית, על בסיס הודעת הכופר המופיעה בשפה זו. עם זאת, ייתכן שתוך זמן קצר המפיצים שלה יחליטו לעבור להפצה עולמית.

מספר עצות חיוניות, שתסייענה למזער את הסיכון להדבקה בעסק:
  • השתמשו בטכנולוגיות אבטחת נקודות קצה חזקות ובאנטי וירוס. ודאו, כשכל מאפייני ההגנה המסייעים לאיתור תקריות מופעלים.
  • הכשירו את עובדי החברה להיות בעלי מודעות והבנה בסייבר.
  • עדכנו בקביעות את התוכנות במכשירי החברה.
  • ערכו ביקורת אבטחה קבועה.
  • שימו לב לסיומות קבצים לפני פתיחתם. המסוכנות שבהן כוללות את: .exe, .hta, .wsf, .js ועוד.
  • השתמשו בהיגיון והיו ביקורתיים לגבי כל הודעות הדואר האלקטרוני המגיעות ממקור, שאינו מוכר.
עפ"י סקר סיכוני אבטחת מידע בארגונים לשנת 2016, 20% מהעסקים חוו התקפה של תוכנת כופר במהלך 12 החודשים האחרונים.

פדור סיניטסין, חוקר נוזקות בכיר במעבדת קספרסקי: "אנו מאמינים, שהסוס הטרויאני RAA נוצר כדי לבצע התקפות ממוקדות על עסקים. השילוב בין תוכנת כופר לבין גונב סיסמאות הוא שילוב מסוכן, שמגביר את הסיכויים של פושעי הסייבר להשגת כסף. ראשית, מהכופר, שהחברה תשלם כדי לשחרר את הקבצים, ושנית, מהקורבנות הפוטנציאליים החדשים, שניתן להתמקד בהם ע"י שימוש בהרשאות, שנאספו ע"י הסוס הטרויאני Pony. בנוסף לכך, עם האפשרות להצפנה לא מקוונת, הגרסה החדשה של ה-RAA הופכת למסוכנת יותר".
 
המסמך המזויף המושג לקורבן:
המסמך המזויף
 
 



 
 
Bookmark and Share


 


לוח מודעות
יזמים? יש לכם רעיון מבריק? נמשכת ההרשמה למחזור הבא של TLV Generator. ההרשמה - כאן

מחפשים הגנה מושלמת על הגלישה הניידת והנייחת ועל הפרטיות מפני כל תוקף? הפתרון הזול והטוב בעולם - כאן.

ניוזלטר שלישי של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

ניוזלטר שני של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

ניוזלטר ראשון של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

לוח אירועים וכנסים של עולם ההיי-טק - כאן.

מחפש מחקרים? מאות מחקרים עדכניים מהשנה האחרונה מצויים כאן

מחפש תוכנות חופשיות? תוכל למצוא משחקים, תוכנות לפרטיים ותוכנות לעסקים, תוכנות לצילום ותמונות, הכל בחינם.


מעוניין לבנות ולתפעל אתר אישי או עסקי מקצועי? לחץ כאן.


 




לוח האירועים המלא לגולשים מצוי כאן.

2/11/17 - 28/10/17 - German Tel Aviv Week 2017

31/10/17 -  TLV Generator: 30 days Prototype program  

12-19/11/17 - שבוע היזמות העולמי 2017     

14/11/17 - Red Hat Forum Israel 2017  

29-30/11/17 - Microsoft Tech Summit Tel Aviv 

12/12/17 - Video Trends For 2018 Conference   

29-31/1/18 - CybertechTLV 2018  

5/3/18 - GoforIsrael Investment Conference

 

הכי ניצפים 

דירוג הסמאטרפונים הטובים ביותר בעולם לספטמבר 2017 עפ"י Business Insider - כאן

מה כן מקדם אתרים ועסקים באינטרנט? לא העלוקות שחיות סביב גוגל ופייסבוק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק א': בזק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק ג' - ההפסד הצרכני - כאן

כמה מפסידים בביצועים של הפס הרחב במעבר ל"שוק הסיטונאי"? - הרבה - כאן

מה שלא מספרים לכם: כיצד בזק תמרנה את מחירי השוק הסיטונאי עד 2018 - כאן

למה מבלבלים את המוח לציבור בנושא המכונה "שוק סיטונאי"? - כאן

למה בכלל צריך להחליף / לרכוש נתב במעבר ל"שוק סיטונאי"? - כאן

כל מי שכביכול "נטש את בזק" ב"שוק סיטונאי" יחזור לבזק תוך שנה-שנתיים - כאן

ביבי נתניהו הקשיב לקריאת Telecom News: פיטר לאלתר את אבי ברגר - כאן

חשיפת המספרים מאחורי משבר האנטנות: בשנה האחרונה פורקו 721 אנטנות - כאן

איך אני יודע כמה מגהרץ יש בחיבור LTE? מי ספק הסלולר המהיר בישראל? - כאן

חשיפת המחדל המדהים המוסתר מהציבור של הרס רשתות הסלולר - כאן

חשיפת מה שאילנה דיין לא פרסמה ב"ערוץ 2" על תעלולי השר משה כחלון - כאן

איך רבע מיליון לקוחות נפלו בפח ועברו להסדר המכונה בטעות "שוק סיטונאי" - כאן

ההגנה המושלמת על הגלישה ניידת והנייחת ועל הפרטיות מפני כל תוקף - כאן

מבחן דרך: חיבור VPN - האם זו ההגנה המושלמת על הגלישה ועל הפרטיות? - כאן

TLV Generator נולד - התכנית שהופכת כל רעיון למוצר (MVP) תוך 120 יום - כאן

למה 95% מהסטארטאפים בישראל נכשלו, נכשלים וימשיכו להיכשל גם בעתיד - כאן

מה חלקו ואחריותו של ה-CTO למצב בו 95% מהסטארטאפים בישראל נכשלים? - כאן

האם ניתן לרפא את המחלה של כישלון מעל ל-95% מהמיזמים בישראל? - כאן

העסקה הבעייתית של בזק-Yes לא הייתה מתבצעת בלי משרד התקשורת - כאן

קריאה לפיטורים של מנכ"ל משרד התקשורת שלמה פילבר - כאן

המשך חשיפת הבלוף ששמו "מהפיכת הסלולר" ואיך מסרסים את הנתונים למיבור - כאן

 
זרקור חברות
 
TLV-GENERATOR
 
TLV-Generator
 
מידע
 
טלקום אקספרטס
 
NordVPN
 
עדן אימון עסקי
 
כמה זה? השוואת מחירים
 
Ruckus
 
TLV-GENERATOR
 
טלי וייס
 
 
Slideshare Linkedin Twitter
Youtube Instagram Facebook
Google+ live Zappix
Bitly Vimeo Pinterest
אנדרואידאנדרואיד-ברקוד אפל ברקודאפל

 
 מפת הביטקוין   מהירות גלישה Your IP שירותנט
לייבסיטי - בניית אתרים